大型语言模型和MCP服务器：远程访问中安全人工智能的新蓝图

越来越多的组织正在采用大型语言模型（LLMs）。LLMs擅长解释自然语言，指导故障排除，并自动执行重复、例行任务，这些任务会减慢管理员的速度。当人工智能助手可以接收指令，如“连接我到主Linux集群并检查失败的登录”，并立即执行完全编排的操作时，效率和生产力收益是不可否认的。

作为这一趋势的一部分，LLMs正在进入IT运营中一些最敏感的角落，包括团队用来管理远程连接和跨混合、云和本地环境的特权访问的工具。远程访问系统位于信任、身份和运营控制的交汇处。它们管理管理员会话，代理身份验证，并将敏感工作负载连接到负责维护它们的个人。

为什么人工智能在远程访问中需要中间层

LLMs扩展到特权工作流程中是方便的，但也存在问题。为了运行命令或连接到主机，一些人工智能工具简单地检索凭据并将它们传递给LLM用于下游使用。这是一个方便的捷径，但也可能是一个危险的捷径。如果模型接收到密码或密钥，则整个特权边界就会崩溃。组织将失去对凭据管理、审计的控制，LLM将成为一个新的、不透明的参与者，具有访问环境核心的权限。

此外，模型可以受到操纵输入的影响，使得凭据暴露风险更大。除此之外，LLMs对上下文数据的需求使得它们成为系统的风险伴侣，这些系统保护密钥、令牌和管理路径。最终，LLMs（以及相关的AI工具和模型）可以非常有帮助，但它们不应该被允许持有或处理机密。它们还不够成熟，无法被信任。

鉴于这些问题和漏洞，一个中心问题现在摆在CIO、CISO和运营领导者面前：我们如何使LLMs能够帮助我们，但又不让它们过于接近我们的特权工作流程？

幸运的是，一个答案正在出现，它将架构漏洞转化为优势：模型上下文协议（MCP）服务器。

MCP服务器：重新定义LLMs与基础设施的交互方式

MCP服务器充当安全中间件，有效地成为人工智能的“空气锁”，允许LLMs请求操作，但永远不会触及这些操作所需的凭据或特权路径。随着组织深入人工智能辅助运营，MCP风格的方法正在成为安全、可扩展集成的蓝图。

MCP服务器引入了一个隔离的关注点，这是许多安全架构师长期以来认为是必不可少的：人工智能提供帮助，但受控系统执行。与其直接授予LLM权限，不如限制模型表达意图（例如“连接这里”，“收集日志”，“检查此策略”），同时MCP服务器解释这些请求，应用策略，并通过经过验证的工具路由它们。重要的是，这种方法符合NIST人工智能风险管理框架中描述的原则，该框架强调工具边界、调解权限和人工控制的升级。

使得这种设计特别有影响力的是，LLM永远不会接收到特权材料。身份验证是通过安全的凭据注入来处理的。因此，LLM只看到结果，而不是看到机密本身。LLM可以描述发生了什么，帮助排除问题，并引导人类完成下一步，但它不能自行进行身份验证。

安全研究越来越强调，人工智能模型和本地工具之间的传输层是攻击面的一个关键部分。例如，OWASP的LLM应用程序前10名强调了不安全的插件交互的风险，特别是那些通过开放的localhost HTTP端点暴露的交互，可以允许不受信任的本地进程触发特权操作。MCP风格的架构通过依赖OS强制执行的、用户范围的通道（如命名管道）来避免这种情况，这些通道提供了更强的隔离。这种方法符合ENISA关于不安全的人工智能附加点的更广泛警告和它们在高特权环境中引入的风险。

MCP服务器的另一个关键优势是能够在远程会话内部执行操作。通过使用安全的虚拟通道或等效机制，MCP服务器可以在RDP或SSH环境中直接执行操作，但无需依赖于脆弱的、MFA绕过脚本。这种方法将便利性与治理相结合：管理员获得强大的自动化，但不会牺牲零信任原则。

这些特征重新定义了“安全人工智能集成”的含义。组织不再将人工智能包裹在敏感系统周围，而是将一个加固的层放在中间，定义了人工智能可以请求和接收的内容——以及同样重要的是，它永远不会被允许看到的内容。

LLM + MCP架构的运营优势

这种设计的运营回报很大。通过MCP调解人工智能，IT团队可以使用简单的自然语言编排环境设置、配置标准化和多会话任务。这有可能显著减少问题识别和解决之间的时间，特别是在混合环境中，通常会降低速度。

这些改进也符合更广泛的行业预测和建议。Gartner指出，LLM辅助的IT运营是混合基础设施管理的主要加速器，有助于团队更快地工作而不牺牲治理。模型分析日志，总结复杂数据集，并引导人类完成故障排除步骤——同时MCP层确保每个操作都是合规和可追溯的。

结果不仅仅是更快的速度，还有更强的治理。当LLM一致地将任务路由到相同的加固路径时，组织发现可靠的审计跟踪、可复现的工作流和人类和人工智能活动之间的明确归属。日志包括提示、工具调用、会话详细信息和策略引用——所有这些为合规团队提供了他们在人工智能驱动环境中日益需要和期望的透明度。

这种方法还具有文化上的好处。通过“卸载琐事”（例如日志审查、重复检查、单调的管理步骤等），IT团队可以将精力和关注点转移到更高价值的工作中。这可以提高效率和士气，特别是在混合基础设施扩张中资源紧张的运营团队中。

最后，由于MCP架构可以支持多个LLM，组织不必处理单一供应商。他们可以根据监管需求和数据治理偏好选择商业、开源或本地模型。

仍需要关注的安全风险

虽然我们探讨的好处是实质性的，甚至在某些方面具有变革性，但指出即使有安全的中介层，LLM辅助环境也并非无风险也是必要和负责的。有四个挥之不去的担忧需要强调：

• 如前所述，提示注入——直接和间接——仍然是最大的担忧之一，并且是LLM最广泛记录的攻击类别之一。
• 元数据暴露是另一个担忧。虽然MCP服务器保护凭据，但除非团队强制执行强大的数据最小化实践，否则提示和响应仍然可能泄露主机名、内部路径和拓扑模式。
• MCP系统添加了新的机器身份：工具服务器、虚拟通道、代理进程。根据行业研究，机器身份在许多组织中远远超过人类身份，机器身份的管理不善是日益增长的安全漏洞来源。
• 最后，人工智能供应链不能被忽视。模型更新、工具扩展和集成层需要持续验证。ENISA的分析强调，人工智能系统引入的供应链比传统软件堆栈更广泛、更脆弱。

未来12个月：实用前进道路

正在探索LLM驱动的自动化的组织在特权环境中应将MCP风格的中介视为预期的基准。在接下来的12个月内，领导者可以采取几种实用的步骤，包括：

• 建立内部治理模型，定义哪些LLM获得批准以及可以访问哪些数据。
• 确保所有人工智能驱动的特权操作都通过MCP风格的层进行路由，而不是直接与凭据交互。
• 将人工智能启动的工作流集成到现有的PAM框架中。
• 采用代码作为策略来定义和测试工具边界。
• 优先考虑数据最小化。
• 将人工智能特定的红队测试纳入其中，重点关注提示操纵、模型行为和本地接口加固。

最后的话

LLMs正在重塑远程访问和特权运营，提供新的速度、指导和自动化水平。然而，安全地释放这一潜力需要一种有纪律的架构方法：一种将安全、可审计的中介层放在人工智能模型和敏感系统之间的方法。MCP服务器提供了这种结构。它们允许人工智能提供帮助，而不“交出钥匙”，将创新与治理结合起来，以符合现代零信任期望的方式。

对于希望负责任、盈利地利用人工智能的组织，MCP风格的设计代表了一种实用、前瞻性的蓝图——一种LLM放大人类专业知识，而不是无意中损害特权访问和工作流的安全性的蓝图。